漏洞公告
近日,安恒信息CERT监测到明源云ERP任意文件上传漏洞,目前技术细节及PoC未公开。未经身份验证的攻击者可以利用此漏洞任意上传文件至目标服务器,进而通过Webshell来实现远程控制。
该产品主要使用客户行业分布广泛,是主流的企业管理软件之一。该漏洞无需任何前置条件,建议客户尽快做好自查及防护。
漏洞信息
明源云ERP是一款由明源云科技有限公司开发的企业管理软件。明源云ERP产品旨在帮助企业实现数字化、智能化的管理,提高企业运营效率和核心竞争力。
|
漏洞标题 |
明源云ERP任意文件上传漏洞 |
||
|
应急响应等级 |
3级 |
||
|
漏洞类型 |
任意文件上传 |
||
|
影响目标 |
影响厂商 |
明源云科技有限公司 |
|
|
影响产品 |
明源云ERP |
||
|
影响版本 |
(-∞, 4.5] |
||
|
安全版本 |
(4.5,+∞) |
||
|
漏洞编号 |
CVE编号 |
未分配 |
|
|
CNVD编号 |
未分配 |
||
|
CNNVD编号 |
未分配 |
||
|
安恒CERT编号 |
WM-202305-000003 |
||
|
漏洞标签 |
WEB应用、OA系统 |
||
|
CVSS3.1评分 |
9.8 |
危害等级 |
严重 |
|
CVSS向量 |
访问途径(AV) |
网络 |
|
|
攻击复杂度(AC) |
低 |
||
|
所需权限(PR) |
无需任何权限 |
||
|
用户交互(UI) |
不需要用户交互 |
||
|
影响范围(S) |
不变 |
||
|
机密性影响(C) |
高 |
||
|
完整性影响(I) |
高 |
||
|
可用性影响(A) |
高 |
||
|
威胁状态 |
Poc情况 |
未发现 |
|
|
Exp情况 |
未发现 |
||
|
在野利用 |
未发现 |
||
|
研究情况 |
分析中 |
||
|
舆情热度 |
公众号 |
低 |
|
|
Twitter |
低 |
||
|
微博 |
低 |
||
官方修复方案:
官方已发布修复方案,受影响的用户建议联系官方获取安全补丁:
https://www.mingyuanyun.com/
临时修复方案:
非必要不建议将该系统暴露在公网。
网络空间资产测绘
安恒CERT的安全分析人员利用Sumap全球网络空间超级雷达,通过资产测绘的方法,对该漏洞进行监测,近3个月数据显示,明源云ERPIP测绘数据 1843条,域名测绘数据7,719条,国内资产较多。
根据实际调研使用量,内网及互联网网络均有部署。建议客户尽快做好资产排查。
参考资料
1. https://www.mingyuanyun.com/
安恒信息CERT
2023年5月
原文始发于微信公众号(安恒信息CERT):【风险通告】明源云ERP任意文件上传漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论